Keamanan Login WordPress: 5 Langkah Mudah untuk Mengamankan Halaman Login Anda

Ingin tahu apakah Anda harus mengkhawatirkan keamanan login WordPress?

WordPress adalah CMS paling populer di dunia karena sangat mudah untuk membangun situs web dengannya. Meskipun CMS ini gratis, ada harga yang harus dibayar. WordPress sangat mudah ditebak, yang terkadang menjadikannya sasaran empuk.

Ambil, misalnya, halaman login.

Setiap situs WordPress memiliki halaman login yang sama (/wp-admin.com atau /wp-login.php). Kombinasikan prediktabilitas dengan kecenderungan manusia untuk menggunakan kredensial yang lemah, dan halaman tersebut menjadi target yang memikat bagi peretas.

Pakar keamanan mengatakan bahwa halaman login adalah halaman yang paling rentan di sebuah situs web. Setiap hari, peretas menyebarkan bot untuk melakukan serangan brute force di halaman itu. Dengan mengetahui kredensial login Anda, mereka dapat dengan mudah mendapatkan akses ke CMS Anda. Jadi, Anda harus melakukan segala daya untuk melindunginya dari tamu tak diundang ini.

Pada artikel ini, kami akan menunjukkan kepada Anda lima metode lanjutan untuk meningkatkan keamanan login WordPress dan mencegah peretasan.

Cara mengamankan halaman login WordPress pada tahun 2022

Ada banyak saran yang buruk di bidang keamanan cyber. Sebagian besar ditujukan untuk membuat orang ketakutan dan membuat mereka menyerah pada pilihan kompulsif. Alih-alih menambah kebisingan, dalam artikel ini, kami akan menunjukkan metode yang benar-benar berfungsi. Yaitu:

Anda pasti telah memperhatikan bahwa kami belum menyertakan penegakan kata sandi yang kuat dan pemasangan sertifikat SSL. Itu karena itu diberikan. Kami harap Anda sudah menggunakannya. Lihat panduan kami yang lain tentang cara menyelesaikannya.

Catatan: Untuk melakukan langkah-langkah yang telah kami sebutkan di bawah ini, Anda perlu menginstal satu atau dua plugin. Dan kami tahu bahkan plugin terbaik pun dapat menyebabkan kerusakan. Jadi lakukan backup situs web Anda sebelum Anda melanjutkan lebih jauh.

Sekarang, mari kita mulai:

1. Ubah URL halaman login

Seperti yang kami katakan di awal artikel, halaman login WordPress default terlihat seperti ini:

• www.website.com/wp-admin/
• www.website.com/wp-login.php/

Semua orang mengetahuinya, termasuk peretas yang mendesain bot yang menargetkan halaman login WordPress. Dan karena 59% orang Amerika [1] menggunakan kata sandi yang lemah, terlalu mudah untuk meretas situs web dengan memaksa halaman login .

Salah satu cara untuk melindungi halaman login Anda adalah dengan mengubah URL.

Membuat URL halaman login kustom baru itu mudah. Ada sejumlah plugin yang tersedia yang memungkinkan Anda melakukannya dalam beberapa klik.

Kami akan menggunakan plugin WPS Hide Login untuk mendemonstrasikan prosesnya, tetapi jika Anda lebih suka plugin lain, silakan saja. Langkah-langkahnya akan sama mudah dan cepatnya.

Cara mengubah URL login WordPress Anda

Instal dan aktifkan WPS Sembunyikan Login. Buka Pengaturan → WPS Sembunyikan Login .

Gulir ke bawah di bagian bawah laman, masukkan URL baru di bagian URL Masuk , dan tekan Simpan Perubahan .

Coba masuk dengan URL baru. Jangan lupa untuk membagikannya dengan rekan tim Anda.

Jika Anda memerlukan bantuan, inilah panduan khusus kami: cara mengubah URL halaman login WordPress Anda.

2. Terapkan otentikasi dua faktor

Anda pasti menemukan autentikasi dua faktor saat menggunakan Facebook dan Gmail. Layanan biasanya mengirimkan kode unik ke nomor ponsel Anda yang terdaftar setiap kali Anda mencoba masuk ke akun Anda. Tindakan keamanan ini diterapkan untuk memastikan hanya pemilik akun yang dapat mengaksesnya. Bahkan jika peretas bisa mendapatkan kredensial Anda, tidak mungkin mereka bisa mencuri kode unik yang dikirim ke nomor ponsel Anda yang terdaftar.

Otentikasi dua faktor juga dapat diterapkan ke situs WordPress Anda. Ini akan menambahkan lapisan keamanan ke halaman login. Yang perlu Anda lakukan adalah menginstal salah satu plugin berikut:

• Google Authenticator miniOrange
• Google Authenticator – Otentikasi Dua Faktor (2FA)
• WP 2FA oleh WP White Security

Menyiapkan plugin otentikasi dua faktor sangat mudah. Kami akan menggunakan Google Authenticator miniOrange untuk menunjukkan proses penyiapan.

Bagaimana menerapkan otentikasi dua faktor

Instal Google Authenticator miniOrange di halaman login WordPress Anda. Segera setelah Anda mengaktifkan plugin, widget pengaturan akan muncul. Pilih opsi pertama, yaitu Google Authenticator .

Selanjutnya, unduh aplikasi Google Authenticator di smartphone Anda. Buka aplikasi dan pindai kode QR .

Aplikasi ini menghasilkan kode . Masukkan di widget pengaturan dan tekan Simpan .

Keamanan login WordPress 2FA sekarang aktif di halaman login Anda.

3. Batasi upaya login yang gagal

WordPress memungkinkan penggunanya mencoba login tanpa batas. Ini mungkin terdengar tidak berbahaya, tetapi sejujurnya, ini adalah celah keamanan yang mencolok.

Upaya login tanpa batas memungkinkan peretas melakukan serangan brute force. Dalam jenis serangan ini, peretas menggunakan bot untuk menemukan kombinasi nama pengguna dan kata sandi yang tepat. Bot gagal beberapa kali sebelum mendapatkan kredensial yang tepat. Salah satu cara paling efektif untuk melawan serangan bot adalah dengan membatasi upaya login.

Plugin di bawah ini akan membantu Anda melakukan hal itu:

• Batasi Upaya Masuk Dimuat Ulang
• Masuk Batas WPS
• Upaya Masuk Batas WP Oleh Arshid

Bagaimana membatasi upaya login yang gagal

Instal plugin dan kemudian pergi ke Limit Login Attempts → Settings → Local App . Di sini Anda dapat mengatur berapa kali upaya login harus diizinkan di situs web Anda. Dan untuk berapa lama seseorang akan tetap terkunci setelah sejumlah upaya login tersebut.

4. Cegah penemuan nama pengguna

Biasanya, nama pengguna dianggap kurang penting daripada kata sandi. Ini adalah catatan yang tersedia untuk umum, dan itulah sebabnya kami menganggap itu pasti bernilai rendah. Tidak benar.

Nama pengguna membuat setengah dari kredensial Anda. Itu harus dilindungi, seperti kata sandi.

Di situs WordPress, Anda akan menemukan nama pengguna yang ditampilkan di postingan dan arsip penulis. Untungnya, ada cara untuk menonaktifkan keduanya.

Cara menonaktifkan arsip penulis

Ini dapat dilakukan dengan bantuan plugin SEO apa pun. Dalam tutorial di bawah ini, kami menggunakan Yoast SEO untuk menunjukkannya.

Buka SEO → Tampilan Pencarian → Arsip dan kemudian nonaktifkan Arsip Penulis. Tekan Simpan Perubahan .

Bagaimana mengubah nama tampilan

Nama tampilan muncul di artikel dan komentar yang dipublikasikan. Secara default, nama tampilan dan nama pengguna (yang Anda gunakan untuk masuk) adalah sama. Untuk mencegah penemuan nama pengguna, Anda dapat mengubah nama tampilan menjadi sesuatu yang lain.

Buka Pengguna → Profil → Nama Panggilan . Anda tidak dapat langsung mengubah nama tampilan. Sebagai gantinya, ubah Nama Panggilan. Kemudian pilih nama panggilan baru dari menu tarik-turun di bawah.

5. Keluar otomatis

Logout otomatis melindungi situs web dari pengintai. Saat pengguna meninggalkan sesi tanpa pengawasan, logout otomatis mengakhiri sesi, melindungi situs web.

Perilaku WordPress default adalah logout pengguna 48 jam setelah cookie sesi login kedaluwarsa. Dan jika pengguna mencentang kotak "Ingat Saya", Anda akan tetap masuk selama 14 hari. Untuk mengakhiri sesi karena sedikit waktu idle, Anda perlu menginstal plugin terpisah.

Plugin di bawah ini membantu Anda keluar otomatis untuk mengakhiri sesi pengguna yang tidak aktif:

• Logout Tidak Aktif
• Keamanan iThemes

Cara mengaktifkan logout otomatis

Aktifkan plugin lalu buka Pengaturan → Logout Tidak Aktif → Manajemen Dasar . Atur jam untuk batas waktu idle. Ada opsi untuk timeout berbasis peran juga. Periksa jika Anda suka.

Kesimpulan tentang keamanan login WordPress

Meskipun Anda menerapkan langkah-langkah untuk mencegah peretas memaksa masuk ke situs web Anda, penyusup masih dapat memperoleh akses melalui tema dan plugin yang rentan. Oleh karena itu, selalu perbarui situs Anda sepanjang waktu.

Untuk lebih mengamankan situs web Anda, kami sangat menyarankan agar Anda mengambil semua langkah keamanan yang tercakup dalam panduan ini: 10 kiat keamanan WordPress utama.

Jika Anda memiliki pertanyaan tentang cara menangani keamanan login WordPress Anda, beri tahu kami di komentar di bawah.